Loggning i PF

[Anders Troback]

Den Wed, 23 Mar 2011 10:55:15 +0100
skrev Sven-Åke Svensson <sa at mbg.se>:

> Hej
> 
> 
> I "option" delen av min pf.conf ser det ut så här.
> 
> ***********************************************************************
> 
> # Options
> set timeout { interval 10, frag 30 }
> set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
> set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
> set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
> set timeout { icmp.first 20, icmp.error 10 }
> set timeout { other.first 60, other.single 30, other.multiple 60 }
> set timeout { adaptive.start 0, adaptive.end 0 }
> set limit { states 10000, frags 5000 }
> set loginterface none
> set optimization normal
> set block-policy return
> set require-order yes
> set fingerprints "/etc/pf.os"
> **********************************************************************
> 
> Sedan använder jag detta i de regler jag behöver titta på, "pass in
> log....".
> 
> 
> Sven-Åke
> 
> 
> 
> 2011-03-23 10:35, Christoffer Persson skrev:
> > Hur ser din nuvarande config ut?
> > 
> > /Christoffer Persson
> > ________________________________________
> > From: bus-bounces at stacken.kth.se [bus-bounces at stacken.kth.se] on
> > behalf of Sven-Åke Svensson [sa at mbg.se] Sent: Wednesday, March 23,
> > 2011 10:11 AM To: bus at stacken.kth.se
> > Subject: Loggning i PF
> > 
> > Hej
> > 
> > 
> > Jag undrar om det är någon som vet hur man ökar mängden data som
> > samlas in i pflog? Den enda info jag hittar är att det default
> > samlas in 96 bytes. Men jag skulle behöva betydligt mer för att
> > sedan kunna undersöka i Wireshark.
> > 
> > 
> > Hälsningar
> > 
> > Sven-Åke

Dumpar du loggen med tcpdump?